Pour suivre la propagation de l’épidémie de COVID-19, on utilise massivement la méthode dite de contact tracing, c’est-à-dire de suivi des cas contacts à risque. Cette méthode intrusive pose quelques problèmes au regard de la protection des données personnelles des utilisateurs. Le point ici sur les interactions entre contact tracing et RGPD.
La méthode du contact tracing et le RGPD
Contact tracing : de quoi parle-t-on ?
Le contact tracing consiste en un traçage minutieux des personnes qui ont été en contact avec une personne contaminée par la COVID-19.
Pour interrompre les chaînes de propagation du virus, la méthode s’appuie sur 3 phases :
- L’identification des personnes à risque, c’est-à-dire des personnes susceptibles d’avoir été en contact prolongé avec une personne positive au COVID-19. Les critères pour qualifier une personne de « cas contact à risque » ont été spécialement définis par le gouvernement. Par exemple : si vous êtes en contact direct avec le malade (vivant sous le même toit) ou encore si vous avez eu un contact rapproché avec le malade dans les 48 heures précédant l’apparition de symptômes. On considère comme un « contact rapproché » les situations réunissant certaines conditions. Par exemple, c’est le cas si vous êtes resté à moins d’un mètre de distance du malade, sans mesure de protection (comme le port du masque) ;
- La prise en charge des personnes via le dispositif de l’Assurance Maladie et des ARS (Agences Régionales de Santé). Ces deux instances ont mis en place des conseillers chargés de téléphoner aux cas contacts pour les prévenir de leur exposition au virus le plus rapidement possible. Elles leur indiquent également la conduite à tenir et répondent à leurs questions ;
- L’isolement des personnes cas contacts de façon préventive même en l’absence de symptômes. Les cas contacts à risque doivent aussi procéder à un test de dépistage du COVID-19.
Autrement dit, le contact tracing permet de limiter la propagation de l’épidémie en cassant les chaînes de contamination grâce à des mesures préventives.
La méthode du contact tracing est-elle conforme au RGPD ?
Les conseillers des ARS et de l’Assurance Maladie doivent recueillir un certain nombre de données personnelles pour pouvoir organiser le traçage des personnes susceptibles d’avoir été contaminées.
Alors quid de la protection de vos données personnelles prévue par le Règlement Général sur la Protection des données (RGPD) de 2018 lors de l’application du contact tracing ?
Déjà, il faut savoir que les enquêteurs sanitaires sont recrutés et formés pour leur mission.
Ensuite, les données recueillies par leurs soins sont de 2 types :
- Des données personnelles (par exemple, vos noms, prénoms et numéro de téléphone) ;
- Des données médicales (par exemple, le résultat du test de COVID, symptômes déclarés). Aucune autre information de santé que celle ayant trait au COVID-19 ne peut être consignée.
Ces données sont stockées dans 2 fichiers confidentiels : SI-DEP et Contact Covid. Ces deux fichiers ont été validés par la CNIL dans sa décision du 8 mai 2020.
Les personnes ayant accès aux données sont restreintes. Elles sont transmises aux autorités de santé spécialement habilitées pour leur traitement (agents habilités des ARS ou de l’Assurance Maladie, professionnels de santé, etc.). Elles peuvent également être utilisées à des fins statistiques.
Des précautions ont été prises par les autorités en matière de conservation des données. Les données sont conservées pendant 3 mois à partir de leur collecte. Elles peuvent être conservées jusqu’à 6 mois dans le cas où elles sont anonymisées.
Les droits prévus par le RGPD sont assurés par le dispositif. Ainsi, vous avez :
- Un droit d’accès à vos données personnelles ;
- Un droit à la modification de vos données personnelles ;
- Un droit d’opposition.
Pour autant, la CNIL a mis en évidence quelques écarts par rapport au RGPD, justifiés par la situation sanitaire exceptionnelle.
Par exemple, le traitement de vos données personnelles ne nécessite pas votre consentement. À nuancer néanmoins car la participation aux enquêtes se fait sur la base du volontariat.
Il est à noter que le suivi de la CNIL est continu et qu’elle veille au grain pour contrôler le dispositif de contact tracing dans la durée.
L’application de contact tracing StopCOVID et le RGPD
Comment fonctionne l’application de contact tracing StopCovid ?
Pour aller plus loin dans le tracing des utilisateurs, les autorités ont souhaité développer une application de contact tracing reposant sur la base du volontariat. Cette application intervenant en complément des enquêtes sanitaires menées par les ARS et l’Assurance Maladie est dénommée « StopCovid ».
Le système est simple : si deux personnes se trouvent à proximité l’une de l’autre, leurs smartphones peuvent se reconnaître en émettant des signaux. Des données sont alors stockées sur chacun des téléphones ayant téléchargé l’application. Si l’une des personnes est testée positive au COVID-19, la personne qui l’a croisé reçoit alors une notification sur son téléphone lui indiquant son exposition au virus.
Précision importante, le système fonctionne en utilisant le signal Bluetooth du téléphone et non le système de géolocalisation (GPS). Ainsi, l’application n’utilise pas la localisation des personnes. Les données utilisées prennent la forme de pseudonymes. Elles sont donc moins susceptibles de porter atteinte à la vie privée des personnes qui ne peuvent pas être identifiées.
TousAntiCovid (StopCovid) et le respect du RGPD
Lors de sa mise en place, l’application StopCovid ne respectait pas les standards du RGPD. La CNIL avait alors adressé une mise en demeure au gouvernement de faire cesser cette violation du RGPD.
Depuis juillet 2020, la CNIL a jugé que les failles précitées avaient été corrigées et que l’application StopCovid était désormais pour l’essentiel en règle avec les réglementations en vigueur (RGPD et loi informatique et libertés). La CNIL a estimé que l’application était respectueuse de la vie privée des Français et nécessaire pour œuvrer à limiter la propagation de l’épidémie.
Par exemple, elle ne fait plus remonter l’ensemble de l’historique des contacts des utilisateurs mais un simple « historique de proximité » des personnes réellement susceptibles d’avoir été cas contact (les personnes ayant eu un contact de moins d’un mètre pendant au moins 15 minutes).
En octobre 2020, une nouvelle version de l’application a été lancée et renommée pour l’occasion « TousAntiCovid ».
Les solutions de tracing conformes au RGPD d’Hxperience
Hxperience a développé une solution de contact tracing dédiée aux entreprises. Grâce à notre Solution Covid, vous pouvez suivre l’évolution du nombre de contaminations dans votre entreprise sans passer par le smartphone ou les données personnelles.
L’avantage ? Vous n’avez plus besoin de fermer l’entreprise dès la découverte d’un cas contact ! Notre application vous permet d’identifier rapidement les personnes ayant été en contact avec le salarié malade pour instaurer un confinement ciblé.
Il vous suffit ensuite :
- De prévenir les salariés ayant été en contact avec le malade pour leur demander de s’isoler.
- De désinfecter les zones pouvant avoir été contaminées par le salarié.
La contamination est ainsi neutralisée. Les autres salariés qui ne sont pas concernés par la situation peuvent continuer à travailler sans risque pour leur santé.
Notre solution fonctionne grâce à des badges plus respectueux de la vie privée de vos salariés que l’utilisation de leurs smartphones. On place dans les pièces des balises qui sont capables de capter les signaux émis par les badges de vos salariés lorsqu’ils sont en contact rapproché avec une personne.
Notre solution est RGPD friendly et ne fait pas appel à vos données personnelles. L’identification des personnes ne se fait qu’en cas de contamination avérée et le fichier des personnes concernées n’est consultable que par une personne habilitée.
Contrairement aux idées reçues, le contact tracing peut être respectueux du RGPD ! Contactez-nous si vous souhaitez mettre en place une solution de tracing protectrice de la vie privée et de la santé de vos salariés.